IRQL的理解和认识

最新推荐文章于 2025-03-02 01:09:07 发布
最新推荐文章于 2025-03-02 01:09:07 发布
阅读量4.7k 收藏 9
点赞数 4
分类专栏: Windows驱动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42021840/article/details/106113416
版权

介绍:

   中断请求(IRQ,Interrupt Request)一般有两种,一种是外部中断,也就是硬件产生的中断(例如:键盘中断、打印机中断、定时器中断):另一种是由软件指令 int n 产生的中断(例如:INT 3 断点中断、INT 1 单步中断)。后来 Windows 将中断进行的扩展,提出一个中断请求级(IQRL)的概念。其中规定了 32个中断请求级别,分别是 0-2 级别为软件中断,3-31 为硬件中断。

 

Windows IRQL的宏定义

#define PASSIVE_LEVEL 0                               // Passive release level
#define LOW_LEVEL 0                                      // Lowest interrupt level
#define APC_LEVEL 1                                       // APC interrupt level
#define DISPATCH_LEVEL 2                            // Dispatcher level
#define CMCI_LEVEL 5                                     // CMCI handler level
#define PROFILE_LEVEL 27                             // timer used for profiling.
#define CLOCK1_LEVEL 28                              // Interval clock 1 level - Not used on x86
#define CLOCK2_LEVEL 28                              // Interval clock 2 level
#define IPI_LEVEL 29                                        // Interprocessor interrupt level
#define POWER_LEVEL 30                               // Power failure level
#define HIGH_LEVEL 31                                    // Highest interrupt level
#define CLOCK_LEVEL (CLOCK2_LEVEL)

对于驱动编程,我们通常只会接触到 0 到 2 的 IRQL 以及 DIRQL。

PASSIVE_LEVEL 0: 

     IRQL最低级别,没有被屏蔽的中断(无法屏蔽其他中断),在这个级别上,线程执行用户模式,可以访问分页内存。用户模式的代码是运行在最低级别的PASSIVE_LEVEL中,驱动程序的DriverEntry函数,派遣函数、AddDevice函数一般运行在PASSIVE_LEVEL中(驱动程序的StartIO和DPC函数运行在DISPATCH_LEVEL中),它们在必要的时候可以申请进入
DISPATCH_LEVEL级别(为了保证当前例程不会被CPU切换到其他地方),使用内核函数KeGetCurrentIrql()可以知道系统的当前IRQL。

APC_LEVEL 1 :

    在这个级别上,只有处于APC级别的中断被屏蔽,可以访问分页内存。当有APC发生时,处理器提升到APC级别,这样,就屏蔽掉其他的APC,为了和APC执行一些同步,驱动程序可以手动提升到这个级别。APC级别仅仅比PASSIVE_LEVEL高,这也是在一个线程中插入一个APC可以打断该线程(如果该线程运行在PASSIVE_LEVEL上)运行的原因。 

 DISPATCH_LEVEL 2:

     DISPATCH_LEVEL是一个重要的区分点,它代表了线程调度器正在运行。一个处理器运行运行在IRQL上,代表他可能正在做两件事之一:正在进行线程调度;正在处理硬件中断的后半部(不那么重要的部分),这个被称为DPC(Deferred Procedure Call:延迟调用)。这个级别,DPC(延迟过程)和更低的中断被屏蔽,不能访问分页内存,所有的被访问的内存不能分页。因为只能处理非分页内存,所有在这个级别上,能够访问的Api大大减少。

     Windows负责线程调度的组件运行在DISPATCH_LEVEL级别,当前线程运行完时间片时,操
作系统自动从PASSIVE_LEVEL提升到DISPATCH_LEVEL级别,从而可以使得线程调度组件可以
调度其他线程。当线程切换完成后,操作系统又从DISPATCH_LEVEL级别恢复到
PASSIVE_LEVEL级别。

线程优先级和 IRQL

    线程优先级是指线程是否有更多的机会运行在CPU上,线程优先级高的线程有更多的机会被内核调用。ReadFile内部创建IRP_MJ_READ,然后这个IRP被传递到驱动程序的派遣函数中,这时派遣函数运行于ReadFile所在的线程中,或者说ReadFile和派遣函数位于同一个线程的上下文中。
    线程运行在PASSIVE_LEVEL级别,这个时候OS随时可能将当前线程切换到别的线程中去。但是将IRQL提升到DISPATCH_LEVEL级别时,这时则不会出现线程切换。这是一种很常用的处理机制,但是这种方法只能使用于单CPU的系统,对于多Cpu的系统,需要采用别的同步处理机制。 

IRQL  与分页内存

     在使用内存分页时,可能会导致页故障。因为分页内存随时可能从物理内存交换到磁盘文件中。读取不在物理内存中的分页时,会引发一个页故障,从而执行这个异常的处理函数。异常处理函数会重新将磁盘文件的内容交换到物理内存中。页故障允许在PASSIVE_LEVEL级别的程序中,但如果在DISPATCH_LEVEL或者更高级别IRQL的程序中会带来系统崩溃。
     对于等于或者高于DISPATCH_LEVEL级别的程序不能使用分页内存,必须使用非分页内存。驱动程序的StartIO全程、DPC例程、中断服务例程都运行在DISPATCH_LEVEL或者更高的IRQL,因为这些例程不能使用分页内存,否则会导致系统崩溃。 

当 IRQL< DISPATCH_LEVEL v1 内存申请成功

 

当 IRQL 提升到 DISPATCH_LEVEL 申请分页内存,导致系统蓝屏

错误码:IRQL_NOT_LESS_OR_EQUAL

蓝屏原因:缺页中断机制是运行在 DISPATCH_LEVEL 级别下的,和当前代码处于一个级别,当代码访问到一个内存页在换页文件的时候,缺页机制无法打断当前代码的运行,从而无法进行页交换,导致访问到了一个错误的内存地址,进而蓝屏。

 

IRQL  的提升和降低

       有些时候驱动程序中需要提升IRQL级别,在运行一段时间后,再将降回原来的IRQL级别,这样做的目的一般是基于同步处理的需要。(当提升IRQL后,不允许低于当前IRQL的活动相互抢先,从而防止了潜在的冲突,这只适用于单Cpu的系统。当是多Cpu系统时,需要采用其他的同步机制,例如事件,自旋锁等等)首先驱动程序需要知道当前状态IRQL级别,可以通过KeGetCurrentIrql内核函数获取当前的IRQL级别。
       然后驱动程序使用内核函数KeRaiseIrql将IRQL提高。KeRaiseIrql需要两个参数,第一个数是提升后的IRQL级别,第二个参数是保存提升前的IRQL级别。最后,驱动程序某个时刻需要将IRQL恢复到以前的IRQL级别,驱动程序可以调用
KeLowerIrql内核函数。

      下面代码演示了驱动中如何提升和降低IRQL的代码 

 

VOID RaiseIRQL_Test()
{
KIRQL oldirql;
// 确保当前IRQL等于或小于DISPATCH_LEVEL
ASSERT(KeGetCurrentIrql() <= DIPATCH_LEVEL); 
// 提升IRQL到DISPATCH_LEVEL,并将先前的IRQL保存起来
KeRaiseIrql(DISPATCH_LEVEL, &oldirql);
//... 
// 恢复到先前的IRQL
KeLowerIrql(oldirql);
}

 

Windows 核心编程研究系列之二:读取指定物理内存地址中的内容
享受开发,颠倒银河
12-19 8617
[原创/讨论] Windows 核心编程研究系列之二: 读取指定物理内存地址中的内容 关键字:windows内核,物理内存   大家知道在windows NT中,如果已知虚拟地址可以通过 进程页表或者内核提供的MmGetPhysicalAddress来取得对应的 物理地址。 现在我们反过来看一下,如果已知一个物理内存地 址 (假设地址有效),如何取得物理地
DDK学习---IRQL理解
HerbBlend的专栏
08-07 1446
初涉DDK,就被弄晕了,学MSDN的时候可以看着API来,因为概念也比较了解,所以不需要怎么来回翻,到了DKK,那么多的概念,看个函数要来回看概念,最后到底看到哪了也不知道了这两天看了看IRQL,总算是知道怎么回事了,但是深入的么还是不知道的我的理解IRQL是内核同步保证优先任务优先完成的机制,说百了整数0-31,没有什么神秘的,当IRQL为A的例程执行的时候,当前CPU的IRQL线就是A,另
IRQL(转载 自 windows内核情景分析)
weixin_33978016的博客
05-16 261
与此相关,Windows为CPU的运行状态定义了许多“IRQ级别”,即IRQL。在任一时间中,CPU总是运行于其中的某一个级别,这个级别就表明了什么事情可以做、什么事情不可以做。下面是这些级别的定义: #define PASSIVE_LEVEL 0 #define LOW_LEVEL ...
windows IRQL
最新发布
weixin_43751677的博客
03-02 60
我们的 rootkit 项目的目标是访问共享的内核资源,同时确保在任何 CPU 上运行的其他线程都不会踩到我们的脚趾。在处理与 DPC 相关的任何内容之前,我们首先需要某种同步机制,它告诉我们所有 CPU 都以 DISPATCH_LEVEL 的速度运行,以及一种方法来向其他 CPU 发出信号何时退出无限 NOP 循环。在这个非常大的 for 循环中运行上述指令将有效地使系统在几秒钟内不可用,因此,作为故事的寓意,rootkit 在访问内核中的共享资源时应该很快。(代码的共享部分)时,它会获取互斥锁。
irql
aalbertini的专栏
02-18 1370
处理器在一个IRQL上执行线程代码。IRQL是帮助决定线程如何被中断的。在同一处理器上,线程只能被更高级别IRQL的线程能中断。每个处理器都有自己的中断IRQL。常见的IRQL级别有四个:Passive、APC、 Dispatch、DIRQL。   PASSIVE_LEVEL IRQL最低级别,没有被屏蔽的中断,线程执行用户模式,可以访问分页内存。 APC_LEVEL 只有APC级别
IRQL
Cherryuuuu
02-27 530
IRQL中断请求级别
学习windows驱动(缓冲区溢出)
mofabang的专栏
10-28 2624
在WDF里,IO请求对象使用了WDFMEMORY对象来表示输入/输出缓冲区。 WDFMEMORY内部维护了内存指针、内存区长度、有效长度(字符串长度)。 维护内存区生命期,框架负责申请释放自己的内存,驱动自己创建内存,由驱动自己负责释放。 可以使用偏移量offset来实现内存区任意部分的使用。实际可用的内存区长度是总长度减去偏移值。 内存对象怎么使用?要使用内存对象,首先要创建内存对象。
Windows NDIS中间层驱动编程实战指南
NDIS中间层驱动(IMDriver),作为底层驱动与上层应用程序之间的桥梁,其核心是理解报文收发的基本流程,如何在不同中断请求级别(IRQL)下进行编程,并应用Windows内核系统调用,如自旋锁(SpinLock)定时器...
Windows Kernel Programming 9781977593375.pdf
07-21
这一部分是理解内核编程的基础,能够让读者对Windows系统的工作原理有一个宏观的认识。 紧接着,书籍介绍了内核开发的起点,包括安装开发工具、创建驱动程序项目、DriverEntryUnload例程的编写、驱动部署简单的...
win2000的DDK自带的src文件夹源码
02-10
6. 同步与通信:深入理解内核同步机制,如IRQL、事件、信号量、互斥体等,以及驱动间的通信方式。 四、源码学习方法 1. 逐个目录阅读:按照src文件夹的结构,逐个子目录阅读源码,了解其功能实现。 2. 实践项目...
从IRQ到IRQL(PIC版) 从IRQ到IRQL(PIC版)
kendyhj9999的专栏
06-28 1013
从IRQ到IRQL(PIC版) http://bbs3.driverdevelop.com/simple/?t83596.html SoBeIt 这个题目让我想起了小时候学的课文《从百草园到三味书屋》,然后就想起了以前无忧无虑的快乐时光,这是上了大学以后所不再有的,有时常常叹息过去的美好日子不会再有了。sigh~扯远了。 本文所有的东西都不涉及APIC。先来介绍一下名词,免得有
IRQL(多线程中断请求级别)
迪迦 • 奥特曼
03-25 2116
IRQL IRQL(Interrupt ReQuest Level)中断请求级别,什么是"中断"呢? 中断就是硬件设备通过8259A中的中断控制器,向CPU发送的一个电信号,电信号表明中断控制码.CPU在收到电信号后就会停止正在执行的程序.识别控制码,根据中断码去中断向量表中找到对应的中断处理函数并执行,这时CUP就处于中断上下文中. 中断上下文就是系统代替硬件去做一些事情,进程上下文是系统代替进程做一些事情. 进程上下文是可以睡眠的,但中断上下文不可以睡眠. 中断又分为:外部中断内部中断.由CPU内部引
一句话说明白IRQL
首席技术总监的专栏
05-23 841
Windows操作系统运行的处理器架构中,硬件产生信号发给可编程中断控制器. 中断控制器发送中断请求(IRQ)及相应的优先级给CPU,CPU设置一个掩码(mask)屏蔽低优先级的其他中断请求到挂起状态(pending state),直到CPU释放控制给中断控制器。如果到来的中断有更高优先级,那么当前中断被挂起,CPU处理高优先级的中断。 Windows把硬件中断与软件中断都映射到内部的中断表内。这就是中断请求级别IRQL。多核处理器的每个内核有自己单独的IRQL。异步过程调用、用户态线程、内核模式操作都.
windows驱动 - IRQL
qq726232111的博客
12-21 573
0x00 IRQL IRQL -> Interrupt Request Level 中断请求等级 0x01 函数 KeRaiseIrqlToDpcLevel 将 硬件优先级提高到IRQL=DISPATCH_LEVEL,从而屏蔽当前处理器上等效或较低的IRQL中断 KeRaiseIrql 将硬件优先级提高到指定的IRQL值,从而屏蔽当前处理器上等效或较低IRQL的中断 KeLowerIrql 将当前处理器上的IRQL还原为其原始值。 KeInitializeDpc...
23.IRQL中断
qq_35129925的博客
04-14 397
一丶IRQL 1.了解什么是中断 中断就是产生的一个电信号.比如键盘.当按下就会产生电信号发送给CPU 而CPU就会停止当前处理.去执行电信号.他是根据IRQL中断级别来进行处理的. 如下图: 中断说白了就是个电信号.打断CPU执行的代码. 去调用中断处理函数. 此时CPU就处于硬件上下文. 2.IROL中断级别. 因为会产生很多CPU电信号.所有硬件同是发送中断处理级别怎么办.所以需要为这些级别分一个优先级. CPU会先执行优先级高的.会把优先级低的给屏蔽掉. 当CPU处于中断上下文的时候.
IRQL深入解析--IRQL级别
xiaoqiangvs007的专栏
05-04 5062
http://blog.163.com/sun201201@126/blog/static/1186458020077311525743/ IRQL = Interrupt Request Level.即中断执行的优先级。一个由windows虚拟出来的概念,划分在windows下中断的优先级,这里中断包括了硬中断软中断,硬中断是由硬件产生,而软中断则是完全虚拟出来的。
windbg查看当前IRQL
weixin_30682127的博客
01-26 485
这是个老生常谈的问题,对于XP没有什么好办法,对于Server 2003开始的系统,可以使用!irql 命令: kd> !irql 1 Debugger saved IRQL for processor 0x1 -- 0 (LOW_LEVEL) 有一个名为 KiOldIrql 的全局变量,在 KeFreezeExecution 把 IRQL 提升到 HIGH_LEVEL ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值